Muy buenas:

Para capar los equipos y limitar los inicios de sesión local de una máquina se debe hacer através de la directiva de seguridad local del equipo. Para entrar en ella hay que ir a Panel de control - Herramientas Administrativas y elegir "directiva de seguridad local".

Dentro de ella hay una categoria que es: Configuración de seguridad - Directivas locales - asignacion de derechos de usuario y dentro de esa categoria la directiva que tu buscabas "Denegar el inicio de sesion localmente". Aqui es donde indicaremos las cuentas o grupos de usuarios que no pueden iniciar la sesion localmente, pero no impide que sigan accediendo a nuestros recursos compartidos.

Lo que no estoy 100% seguro es que en el caso que se trate de un servidor que hace de controlador de dominio, la directiva de seguridad local no funciona y hay que hacerlo através de la directiva de seguridad del controlador de dominio, pero como te dijo no estoy 100% seguro.

Haber si Tania o algún otro experto en servidores puede confirmar o corregir esto último.

Un saludo.